logosmall

Klasyfikacja informacji

Reklama4itsecurityKlasyfikacja informacji jest procesem realizowanym w ramach wdrażania Systemu Zarządzania Bezpieczeństwem Informacji, którego celem jest dokonanie przeglądu wszystkich informacji znajdujących się w organizacji oraz określenie ich ważności. Klasyfikację tworzy się na podstawie atrybutów: poufność, integralność i dostępność.

 

Dokonując klasyfikacji należy określić wartość informacji i ryzyko jej udostępnienia, gdyż poszczególne zasoby nie posiadają identycznych wartości kreowania strat finansowych dla organizacji, zatem nie wymagają identycznych nakładów finansowych ponoszonych w celu ich ochrony. Jest to ważne ze względu na odpowiedni poziom jej ochrony. Większość organizacji poprzestaje na tym, że dokumenty są oznaczane jako "tajemnica przedsiębiorstwa", jednakże takie oznaczanie nie gwarantuje odpowiedniego poziomu bezpieczeństwa.

Dokonując klasyfikacji informacji należy zawsze brać pod uwagę wrażliwość informacji i konsekwencje jej ujawnienia (finansowe skutki jej ujawnienia), Dodatkowo ważnym elementem są również zobowiazania kontraktowe, w tym również wynikające z aktów prawnych.

Przykładowo można dokonać następującego podziału informacji:

  • informacje chronione (wrażliwe) - o zasadniczym znaczeniu dla organizacji, dostępne tylko dla osób, którym są niezbędne do realizacji zadań,
  • do użytku wewnętrznego (służbowego) - istotne dla działania organizacji, udostępniane bez ograniczeń dla pracowników organizacji lub poza nią na podstawie zobowiązań o poufności,
  • publiczne - udostępniane bez ograniczeń, przeznaczone do nieograniczonej publikacji.

Każdy pracownik posługując się klasyfikacją powinien umieć zidentyfikować, do jakiej grupy informacji należy dany dokument. Tylko wtedy będzie umiał właściwie postępować z daną informacją.

 Kompletna klasyfikacja informacji jest połączeniem indywidualnych klasyfikacji dostępności, integralności i poufności.

Klasyfikacja poufności opisuje wpływ ujawnienia informacji. Atrybut ten może być przedstawiany w postaci strat finansowych wynikających z ujawnienia informacji prawnie chronionej.

Klasyfikacja dostępności wskazuje na nieodzorowność informacji i systemów je wykorzystujących. Informacja powinna być dostępna dla uprawnionych użytkowników i w czasie w którym jest wymagana. Miara dostępności jest oparta na utracie dochodów spowodowanych brakiem jej dostępności.

Klasyfikacja integralności odzwierciedla powagę szkody, która mogłaby powstać, gdyby dana informacja została zmieniona, a następnie wykorzystana.

Głównym celem klasyfikacji jest określenie, które informacje są ważne i należy je chronić, a które nie posiadają wartości biznesowej ani prawnej i nie muszą podlegać ochronie. Każdy system klasyfikacji powinien mieć właściciela, który jest w stanie modyfikować zakres możliwych wartości tak, aby dopasować go do potrzeb organizacji.

System klasyfikacji, powinien zapewniać, że informacje przetwarzane przez organizacje są identyfikowalne i w miarę potrzeb oznaczone w zależności od ich ważności i wrażliwości dla organizacji.

Klasyfikacja informacji powinna:

  • nie zawierać zbyt wiele grup informacji,
  • umożliwiać przyporządkowanie określonego dokumentu do zidentyfikowanej grupy informacji,
  • uzupełniać wymagania prawne,
  • wskazywać najważniejsze informacje dla organizacji,
  • informawać pracowników jak postępować z poszczególnymi informacjami.

Podziel się tym artykułem na:

Submit to FacebookSubmit to Google BookmarksSubmit to TwitterSubmit to LinkedIn